Warum wird Sicherheitspolitik ueberwiegend von krankhaften Menschen gemacht?
Erwin Pelzig und seine Begleiter ueber die geplanten Nacktscanner. Via Stoibaer.
Kategorie: Maschinenraum (Seite 16 von 31)
Schon seit mehreren Tagen ist ueber bekannte Quellen das neue Lied „Psychosocial“ und das dazugehoerige Video zu hoeren/sehen. Und schon nach kurzer Zeit stellt man fest, dass das ein Song ist, bei dem einem am ehesten der Begriff „Mainstream“ in den Kopf kommt. Gut, schon Lieder wie „Wait an Bleed“ oder „My Plague“ waren eher Massenkompatibel. Aber dem neuen Track fehlt eindeutig die Haerte. Gut, es muss zu Anfang nicht gleich brennen wie bei „Eeyore“, „The Heretic Anthem“ oder „(SIC)“, mit dem ich meine Schwaegerin auch aus dem Auto treiben kann. Aber *etwas* ruppiger waere schon nett gewesen. Mal schauen was der Rest der CD so sagt.
Bernie meckert zu Recht an, dass ich auch mal den Namen der Band haette nennen koennen: Slipknot
Fehlt nur noch das Buch „Reversing – Secrets of Revers Engineering“ oder, um mal klein anzufangen, „TCP/IP Illistrated, Volume 1.“ 🙂
via Frau und Kind
Lange nichts mehr geschrieben. Aber nun habe ich mal wieder ein paar Minuten Zeit…
Ich kenne mich ja ein wenig beim Thema „Firewalls“ aus. Neben iptables (naja) und pf (I love it!) habe ich auch ein wenig Erfahrung mit Cisco PIX (kleine 501) und etwas mehr Erfahrung mit Netscreen. Nun sind die Tage im Rahmen eines Projektes noch ein paar Appliances/Server verbaut worden. Neben einem Windows Server mit ISA 2006 waren dies noch zwei kraeftige Netscreens (SSG 500), zwei Finjans (Secure Web Gateway, NG-5100) und zwei Checkpoint Appliances (UTM-1 1070). Und man kann sagen was man will… Aber, meiner Meinung nach, ist der ISA-Kram nichts was man *ernsthaft* nutzen will. Gut, ich hatte nicht erwartet, dass die ISA-Loesung an die Leistung, Komfortabilitaet und Coolness einer Checkpoint rankommt. Aber zumindest vom Workflow hatte ich mir mindestens etwas Richtung Netscreen erwartet. Aber das Teil ist weit davon entfernt so intuitiv und angenehm wie Netscreen oder Checkpoint bedienbar zu sein.
Derzeit erstelle ich eine Uebersicht von Tools, Anwendungen und Addons, die ich eigentlich zwischen „gelegentlich“ und „staendig“ nutze. Mitgrund ist, dass ich nach einer Neuinstallation *immer* ewig lang brauche bis wieder alles ist wie es sein soll. Wen es interessiert… Hier meine Firefox-Addons:
Addblock Filterset.G Updater
Addblock Plus
All-in-One Gestures
Exif Viewer
FoxyProxy
Live HTTP headers
NoScript
Objection
Selenium IDE
Tamper Data
User Agent Switcher
Web Developer
Wo ich gerade von Brower und Manipulation von Daten spreche… Vor einiger Zeit wollte man, um unter anderem den Bekanntheitsgrad und die Besuchzahlen zu steigern, auf einer Firemenhomepage ein Spiel anbieten, bei dem man auch etwas gewinnen koennen sollte, wenn man es mit seinen erspielten Punkte in die Top 3 schafft. Der Fachbereich und die Entwickler waren von der entwickelten Loesung total begeistet und wollten das Spiel freigeben. Der Vollstaendigkeit halber hat man sich noch mal an den Datenschutz- und Sicherheitsbeauftragen gewandt, ob alles soweit in Ordnung sei. Dieser sprach mich dann an und frage ob ich mir das Spiel nicht mal anschauen koennte. Das habe ich natuerlich gerne gemacht.
Das Spiel war als Flash realisiert. Da das Spiel ja auf den lokalen Rechner geladen wird lag nah, dass die erreichten Punkte irgendwie uebertragen werden mussten. Ich habe zwei, drei Testspiele gemacht, ein wenig Traffic gesammelt und war anschliessend in der Lage durch Uebergabe eines einzelnen Links mich mit 999.999 Punkten an die Spitze zu setzen. Ich habe darauhin den Fachbereich informiert. Die Reaktion auf meinen einleitenden Satz „Ich habe 999.999 Punkte“ war, dass ich da aber lange gespielt haben muss. 😉
Ich habe dann erklaert was das Problem ist und dass das Spiel kaum als Grundlage fuer moegliche Gewinne dienen kann, da es mit minimalem Aufwand auszutricksen ist. Die Freude war natuerlich maessig, man hat dann aber davon abgesehen dass Spiel in Verbindung mit einem moeglichen Gewinn zu nutzen. Es kann nun zwar gespielt werden, ein Blick in die Bestenliste zeigt heute aber, dass sich da tatsaechlich einige User entsprechend Punkte „erlinkt“ haben.
Einer der Gruende Firefox als Browser zu nutzen ist die Erweiterbarkeit durch Addons. Neben Addons, die die taegliche Nutzung des Internets erleichtern, gibt es auch diejenigen, die bei der Suche nach Problemen, Bugs oder auch Sicherheitsluecken helfen.
So hatte ich vor einigen Tagen z.B. mit Tamper Data und einer Webanwendung, die in Kuerze in Produktion gehen soll (nicht die selbe Anwendung wie in Was’n Security?) eine Menge Spass. Mit Tamper Date hat man, mal untechnisch gesprochen, die Moeglichkeit den Traffic zwischen Internet und Browser zu veraendern. Ein kleines Beispiel aus der angesprochenen Anwendung.
Mit Hilfe der Anwendung koennen, basierend auf Eingaben, Zahlungen fuer eine bestimmte Dienstleistung getaetigt werden. Die einzugebenden Daten werden von einer Karte, wie z.B. eine EC-Karte abgelesen und in die Anwendung eingetippt. Diese Karte gilt allerdings nur fuer einen bestimmten Dienstleistungsbereich. Ich sage mal nur fuer Fast-Food Ketten 🙂
Ich komme also mit meiner Karte in das Fast-Food Lokal meiner Wahl, bestelle mir das XYZ-Menue, gebe der Dame an der Kasse meine Karte und sage „Geht auf die Karte“. Sie meldet sich an der Anwendung an, tippt den auf der Karte befindlichen Code, die Kosten und noch ein, zwei andere Dinge ein und schon ist mein Essen bezahlt.
Jetzt wurde die Anwendung extra so erstellt, dass im Bereich „Betrag“ nur nummerische Werte eingegeben werden koennen. Wenn ich ueber den Browser versuche ein anderes Zeichen als eine Zahl einzugeben, loescht die Anwendung den Eintrag. Jetzt kommt Tamper Data ins Spiele. Gebe ich jetzt einen Zahlenwert ein und bestaetige die Eingabe auf der Seite, faengt Tamper Data die Anfrage ab und bietet die Moeglichkeit Teile oder auch den kompletten Request zu veraendern. Ich kann also, ohne dass die Anwendung was mitbekommt, dem Parameter, der als Wert *eigentlich* eine Zahl enthalten sollte, eine Zeichenfolge zuweisen und mit Spannung drauf warten was die Anwendung draus macht.
Es ist nicht ungewoehnlich, wenn die Anwendung mit solch einer manipulierten Anfrage Probleme hat, da bei der Entwicklung nicht damit gerechnet wurde, dass invalide Werte eintreffen. Oftmals reagieren Entwickler auch verwundert und sagen, dass die Anwendung fehlerhafte Eingaben aber doch verhindert. Aber manchmal reicht es eben nicht nur Eingaben zu verhindern, sondern man muss auch damit rechnen, dass invalide Werte in der Anwendung aufschlagen. Und dann sollte man entsprechende Fehlerroutinen implementiert haben.
Nachtrag zu Professionalitaet in Unternehmen. Der Geschaeftsfuehrer von x-integrate hat sich telefonisch bei mir gemeldet und den ganzen Sachverhalt noch einmal detailiert (auf)geklaert. Fand ich sympathisch und hat mich gefreut. Lob muss auch mal sein 😉
Kein Scherz jetzt. Ich finde es „voll supa“, dass mehr und mehr Daten verloren oder verkauft *cough* werden. Ok, eine Meldung ueber den Verlust von Daten in Grossbritannien ist so sinnvoll wie der taegliche Hinweis auf die kommen Flut am Meer. Alleine bei der dieses Jahr schon gemeldeten Menge an verlorenen Daten ist man bald besser dran, nur noch den nicht-verlust von Daten zu melden. Duerfte das Nachrichtenaufkommen erheblich reduzieren.
Aber auch die in den letzten Tagen gemeldeten Datenverluste erfreuen mein Herz. Da haben sich Telefonspammer Kontodaten von Verbrauchern quasi organisiert und buchen nun unerlaubt Geld ab, oder Datenhaendler bieten Datensaetze an, die von zwei Lotterieveranstaltern, einem Mobilfunkanbieter, einer Spendenorganisation und von Kreditkartenunternehmen „organisiert“ wurden. Da will ich mehr von. Alle Reden und Hinweisen hat ja nicht geholfen. Es muessen so Kracher sein, die dem Menschen auf der Strasse zeigen, dass Datenschutz und der Schutz der Privatsphaere *wichtig* ist.
Lustig war uebrigens in diesem Zusammenhang ein Versprecher in den WDR5-Nachrichten von Dienstag (meine es war Dienstag). Da ging es um Frau Zypries, die fuer einen strengeren Datenschutz plaediere.
Es sei notwendig, den individuellen Rechtsschutz der Verbrecher… aeh, Verbraucher zu staerken…
Das war ein wirklich toller Versprecher! Der Satz war sicher nicht *genau* so, aber der Kontext und vor allem die Verwechselung von Verbrechern und Verbrauchern ist korrekt wiedergegeben 🙂
Gewaltverbrechen an Kindern und Jugendlichen fand ich eigentlich immer schon extrem schlimm. Aktuelles Beispiel ist ja nun wieder die Entfuehrung und anschliessende ermordung der achtjaehrigen Michelle. Seit wir allerdings Eltern sind erschrecken mich solche Meldungen noch mehr als vorher.
Es ist fuer mich nicht verstaendlich wie ein Mann ein Maedchen verschleppen kann, um sich bei einer anschliessenden Vergewaltigung zu erleichtern und es dann, um nicht erwischt zu werden, auch noch toetet. Ja, im aktuellen Fall sind keine Details bekannt. Aber auch unter Auslassung der Vergewaltigung ist mir ein solches Verhalten unverstaendlich.
Waehrend ich in den Nachrichten vom Tod von Michelle hoere und mir dabei unseren Sohn anschaue, verringert sich mein Verstaendnis fuer Eltern nicht, die den Moerder des eigenens Kindes am liebesten eigenhaendig quaelen und erwuergen wuerden. Nein, ich bin nicht fuer Selbstjustiz. Aber ein Mensch der ein Kind missbraucht, anschliessend umbringt und irgendwo verscharrt hat meiner Meinung nach die Option auf ein Erste-Klasse Ticket in das Jenseits geloest.